逆向入门--攻防世界进阶Re题解

最新推荐文章于 2023-05-27 20:44:18 发布
最新推荐文章于 2023-05-27 20:44:18 发布
阅读量3.8k 收藏 8
点赞数 2
分类专栏: 逆向入门 文章标签: 编程语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crisprx/article/details/107902277
版权

前言

摸鱼选手表示最近鱼儿很多。。。好吧我摊牌了,最近忙着考驾照,真折磨人啊,赶紧补一补入门的逆向,不然白给了要。本次准备写两个Re的题解,都是来自攻防世界的进阶

正言

re1-100

自从上次入门后,现在做题的顺序基本摸清了,并且现在的题还没有出现啥花指令这些恶心内容,先把文件放到exeinfope中查看文件属性:
在这里插入图片描述
64位的ELF文件,直接拖到IDApro来看吧:

// TAGS: ['file']
int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  __pid_t v3; // eax
  size_t v4; // rax
  ssize_t v5; // rbx
  bool v6; // al
  char **argva; // [rsp+0h] [rbp-1D0h]
  bool bCheckPtrace; // [rsp+13h] [rbp-1BDh]
  ssize_t numRead; // [rsp+18h] [rbp-1B8h]
  ssize_t numReada; // [rsp+18h] [rbp-1B8h]
  char bufWrite[200]; // [rsp+20h] [rbp-1B0h]
  char bufParentRead[200]; // [rsp+F0h] [rbp-E0h]
  unsigned __int64 v13; // [rsp+1B8h] [rbp-18h]

  argva = (char **)argv;
  v13 = __readfsqword(0x28u);
  bCheckPtrace = detectDebugging();
  if ( pipe(pParentWrite) == -1 )
    exit(1);
  if ( pipe(pParentRead) == -1 )
    exit(1);
  v3 = fork();
  if ( v3 != -1 )
  {
    if ( v3 )
    {
      close(pParentWrite[0]);
      close(pParentRead[1]);
      while ( 1 )
      {
        printf("Input key : ", argva);
        memset(bufWrite, 0, 0xC8uLL);
        gets(bufWrite, 0LL);
        v4 = strlen(bufWrite);
        v5 = write(pParentWrite[1], bufWrite, v4);
        if ( v5 != strlen(bufWrite) )
          printf("parent - partial/failed write", bufWrite);
        do
        {
          memset(bufParentRead, 0, 0xC8uLL);
          numReada = read(pParentRead[0], bufParentRead, 0xC8uLL);
          v6 = bCheckPtrace || checkDebuggerProcessRunning();
          if ( v6 )
          {
            puts("Wrong !!!\n");
          }
          else if ( !checkStringIsNumber(bufParentRead) )
          {
            puts("Wrong !!!\n");
          }
          else
          {
            if ( atoi(bufParentRead) )
            {
              puts("True");
              if ( close(pParentWrite[1]) == -1 )
                exit(1);
              exit(0);
            }
            puts("Wrong !!!\n");
          }
        }
        while ( numReada == -1 );
      }
    }
    close(pParentWrite[1]);
    close(pParentRead[0]);
    while ( 1 )
    {
      memset(bufParentRead, 0, 0xC8uLL);
      numRead = read(pParentWrite[0], bufParentRead, 0xC8uLL);
      if ( numRead == -1 )
        break;
      if ( numRead )
      {
        if ( childCheckDebugResult() )
        {
          responseFalse();
        }
        else if ( bufParentRead[0] == '{' )
        {
          if ( strlen(bufParentRead) == 42 )
          {
            if ( !strncmp(&bufParentRead[1], "53fc275d81", 0xAuLL) )
            {
              if ( bufParentRead[strlen(bufParentRead) - 1] == '}' )
              {
                if ( !strncmp(&bufParentRead[31], "4938ae4efd", 0xAuLL) )
                {
                  if ( !confuseKey(bufParentRead, 42) )
                  {
                    responseFalse();
                  }
                  else if ( !strncmp(bufParentRead, "{daf29f59034938ae4efd53fc275d81053ed5be8c}", 0x2AuLL) )
                  {
                    responseTrue();
                  }
                  else
                  {
                    responseFalse();
                  }
                }
                else
                {
                  responseFalse();
                }
              }
              else
              {
                responseFalse();
              }
            }
            else
            {
              responseFalse();
            }
          }
          else
          {
            responseFalse();
          }
        }
        else
        {
          responseFalse();
        }
      }
    }
    exit(1);
  }
  exit(1);
}

main全放上来了,其中__readfsqword(0x28u)这一段代码我见过不下三回了,这段代码是通常用于alarm函数,防止调试,后续我们还可以看到这里存在很多反调试的机制,因为这个题一调试就没了。。。

v6 = bCheckPtrace || checkDebuggerProcessRunning();这里还存在两个反调试的,这里就没跟进了,因为题目既然不想让我们反调试,那么说明考点不在这。

来看主要的逻辑:
在这里插入图片描述
bufParentRead申请了一块内存,接着讲在pParentWrite[0]读取到的数据存储在bufParentRead中,其实也就是我们输入的,通过if判断我们可以知道,如果想responseTrue()执行,则这一段输入的长度是42,而且以{}为开头结尾,很大概率这就是flag
既然要!strncmp,也就是说两者要相等,可以发现输入的前十位必须是53fc275d81,第31位开始是4938ae4efd,也就是说输入必须是
{53fc275d81********************4938ae4efd}中间我们是不知道的,接下来就是一个confuseKey,跟进发现这是一个十分低级的混淆:

bool __cdecl confuseKey(char *szKey, int iKeyLength)
{
char szPart1[15]; // [rsp+10h] [rbp-50h]
char szPart2[15]; // [rsp+20h] [rbp-40h]
char szPart3[15]; // [rsp+30h] [rbp-30h]
char szPart4[15]; // [rsp+40h] [rbp-20h]
unsigned __int64 v7; // [rsp+58h] [rbp-8h]

v7 = __readfsqword(0x28u);
*(_QWORD *)szPart1 = 0LL;
*(_DWORD *)&szPart1[8] = 0;
*(_WORD *)&szPart1[12] = 0;
szPart1[14] = 0;
*(_QWORD *)szPart2 = 0LL;
*(_DWORD *)&szPart2[8] = 0;
*(_WORD *)&szPart2[12] = 0;
szPart2[14] = 0;
*(_QWORD *)szPart3 = 0LL;
*(_DWORD *)&szPart3[8] = 0;
*(_WORD *)&szPart3[12] = 0;
szPart3[14] = 0;
*(_QWORD *)szPart4 = 0LL;
*(_DWORD *)&szPart4[8] = 0;
*(_WORD *)&szPart4[12] = 0;
szPart4[14] = 0;
if ( iKeyLength != 42 )
  return 0;
if ( !szKey )
  return 0;
if ( strlen(szKey) != 42 )
  return 0;
if ( *szKey != '{' )
  return 0;
strncpy(szPart1, szKey + 1, 10uLL);
strncpy(szPart2, szKey + 11, 0xAuLL);
strncpy(szPart3, szKey + 21, 0xAuLL);
strncpy(szPart4, szKey + 31, 0xAuLL);
memset(szKey, 0, iKeyLength);
*szKey = '{';
strcat(szKey, szPart3);
strcat(szKey, szPart4);
strcat(szKey, szPart1);
strcat(szKey, szPart2);
szKey[41] = '}';
return 1;
}

逻辑应该十分清晰了,直接就是分成四块,然后按照3412的顺序重新拼接得到的是{daf29f59034938ae4efd53fc275d81053ed5be8c},因此直接还原就行,duck不必写脚本
{53fc275d81053ed5be8cdaf29f59034938ae4efd}

srm-50

拿到文件同样是先看看是什么属性的文件:
在这里插入图片描述
是一个win32gui,打开后发现是一个要输入邮箱和number的程序:
在这里插入图片描述
还是老样子,放到IDApro里一探究竟:
既然主体就是一个窗口,那么我们首先肯定是找WinMain
在这里插入图片描述
这个函数的详解也说明一下:

  • 函数原型:
    int DialogBoxParam(HINSTANCE hInstance,LPCTSTR IpTemplateName,HWND hWndParent, DLGPROC IPDialogFunc,LPARAM dwlnitParam);

参数:
hlnstance:标识一个模块的实例,该模块的可执行文件含有对话框模板。
IpTemplateName:标识对话框模板。此参数可以指向一个以NULL结尾的字符串的指针,该字符串指定对话框模扳名,或是指定对话框模板的资源标识符的一个整型值。如果此参数指定了一个资源标识符,则它的高位字一定为零,且低位字一定含有标识符。一定用MAKEINTRESOURCE宏指令创建此值。
hWndParent:指定拥有对话框的窗口。
IpDialogFunc:指向对话框过程的指针。有关更详细的关于对话框过程的信息,请参见DialogProc。
dwInitParam:指定传递到对话框过程中的 WM_INITDIALOG 消息 IParam 参数的值。
返回值:如果函数调用成功则返回值为在对函数EndDialog的调用中的nResult参数,该EndDialog函数用于中止对话框。如果函数调用失败,则返回值为-1。若想获得错误信息,请调用GetLastError函数。

因此重点看DialogFunc的内容,也就是程序的逻辑

BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4)
{
  HMODULE v5; // eax
  HICON v6; // eax
  HMODULE v7; // eax
  HCURSOR v8; // ST20_4
  HWND v9; // eax
  CHAR String; // [esp+8h] [ebp-340h]
  CHAR v11[4]; // [esp+108h] [ebp-240h]
  char v12; // [esp+10Ch] [ebp-23Ch]
  char v13; // [esp+10Dh] [ebp-23Bh]
  char v14; // [esp+10Eh] [ebp-23Ah]
  char v15; // [esp+10Fh] [ebp-239h]
  char v16; // [esp+110h] [ebp-238h]
  char v17; // [esp+111h] [ebp-237h]
  char v18; // [esp+112h] [ebp-236h]
  char v19; // [esp+113h] [ebp-235h]
  char v20; // [esp+114h] [ebp-234h]
  char v21; // [esp+115h] [ebp-233h]
  char v22; // [esp+116h] [ebp-232h]
  char v23; // [esp+117h] [ebp-231h]
  CHAR Text; // [esp+208h] [ebp-140h]
  char Src[16]; // [esp+308h] [ebp-40h]
  __int128 v26; // [esp+318h] [ebp-30h]
  int v27; // [esp+328h] [ebp-20h]
  __int128 v28; // [esp+32Ch] [ebp-1Ch]
  int v29; // [esp+33Ch] [ebp-Ch]
  __int16 v30; // [esp+340h] [ebp-8h]

  if ( a2 == 16 )
  {
    EndDialog(hDlg, 0);
    return 0;
  }
  if ( a2 == 272 )
  {
    v5 = GetModuleHandleW(0);
    v6 = LoadIconW(v5, (LPCWSTR)0x67);
    SetClassLongA(hDlg, -14, (LONG)v6);
    v7 = GetModuleHandleW(0);
    v8 = LoadCursorW(v7, (LPCWSTR)0x66);
    v9 = GetDlgItem(hDlg, 1);
    SetClassLongA(v9, -12, (LONG)v8);
    return 1;
  }
  if ( a2 != 273 || (unsigned __int16)a3 != 1 )
    return 0;
  memset(&String, (unsigned __int16)a3 - 1, 0x100u);
  memset(v11, 0, 0x100u);
  memset(&Text, 0, 0x100u);
  GetDlgItemTextA(hDlg, 1001, &String, 256);
  GetDlgItemTextA(hDlg, 1002, v11, 256);
  if ( strstr(&String, "@") && strstr(&String, ".") && strstr(&String, ".")[1] && strstr(&String, "@")[1] != '.' )
  {
    v28 = xmmword_410AA0;
    v29 = 1701999980;
    *(_OWORD *)Src = xmmword_410A90;
    v30 = 46;
    v26 = xmmword_410A80;
    v27 = 3830633;
    if ( strlen(v11) != 16
      || v11[0] != 'C'
      || v23 != 'X'
      || v11[1] != 'Z'
      || v11[1] + v22 != 155                    // v22=65
      || v11[2] != '9'
      || v11[2] + v21 != 155                    // v21=98
      || v11[3] != 'd'
      || v20 != '7'
      || v12 != 'm'
      || v19 != 'G'
      || v13 != 'q'
      || v13 + v18 != 170                       // v18=57
      || v14 != '4'
      || v17 != 'g'
      || v15 != 'c'
      || v16 != '8' )
    {
      strcpy_s(&Text, 0x100u, (const char *)&v28);
    }
    else
    {
      strcpy_s(&Text, 0x100u, Src);
      strcat_s(&Text, 0x100u, v11);
    }
  }
  else
  {
    strcpy_s(&Text, 0x100u, "Your E-mail address in not valid.");
  }
  MessageBoxA(hDlg, &Text, "Registeration", 0x40u);
  return 1;
}

这个逻辑也是十分清晰的,我们要的就是v11,但是看这个题的时候很纳闷,就是只给了v11的前四位,而且后面几位也并没有什么函数涉及,但是双击v11发现这些变量都是连在一起的:
在这里插入图片描述
依次类推,正好16位(v11本身有3位),因此只需要将:
在这里插入图片描述
解出来排列好即可,&String接受的就是邮箱,这里有strstr其实也就是匹配邮箱是否合格,只要是合格的邮箱都能成功,最后输入解出来的v11即可:
在这里插入图片描述

考完驾照还得多补补Web和密码web是越来越难了,可能也是我越来越菜了,哦不对一直很菜qwq,下一阶段的目标就是先把vue搞定,然后爬虫再写几个项目,buu的web刷起来!!!!

Crispr-bupt
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022级图论-欧拉回路和最短路-题解
01-28
2022级图论-欧拉回路和最短路_题解
程序员面试指南-数据结构与算法题解
07-23
资源名称:程序员面试指南-数据结构与算法题解资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
泛函分析-泛函分析入门题解
06-04
第一章 度量空间 第二章 赋范空间、巴那赫空间 第三章 内积空间、希尔伯特空间 第四章 赋范空间、巴那赫空间的基本定理 第五章 巴那赫不动点定理、逼近理论 第六章 赋范空间线性算子的谱论 第七章 赋范空间上的紧线性算子及其谱
基于python源码的0-1背包问题动态规划的题解.zip
最新发布
01-21
01背包问题动态规划 基于python源码的0-1背包问题动态规划的题解
[BUUCTF-pwn] pragyan_police_academy
weixin_52640415的博客
02-06 464
直接给flag的题。 先是%s读入有溢出然后用strncmp检查,然后是检查一下串长度是36 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+8h] [rbp-48h] BYREF int v5; // [rsp+Ch] [rbp-44h] char s1[16]; // [rsp+10h] [rbp-40h] BYREF char v7[40]; // [rsp+20
攻防世界RE_ereere
m0_74091653的博客
05-27 728
IDA32打开。
攻防世界-re-IgniteMe
底层社会中的弱智
10-19 400
IDA小技巧 shift + e 可以直接提取数据 菜鸡都是从没有壳的开始做 查看程序运行的状态,输入几个字符直接退出 Ida打开 第八行提示输入flag 第十一行进行逻辑判断。 输入的flag的长度小于30字符大于4字符 第十三行,赋值字符串进入循环逐个字符判断前四个字符是否位EIS{ 第19行判断第29位字符是否为} 125的ascii是} 到这里可以看出flag的格式为EIS{}总共是29位 当满足第26行的判断后就会提示恭喜的字样,代表成...
[RE]攻防世界--新手区(全部结束)
weixin_50079028的博客
10-14 195
哔哔两句:不是没做题,实在是最近事情太多,有点忙,,做了也就存到电脑上了,趁现在安装vs,闲着也是闲着,更新一波。 6.攻防世界--新手区--simple-unpack 前面的话:这个题是个shabi题,明明说elf加壳了,ida还能打开(我后来看了看别人的wp,发现是有壳的,我是先改成exe,然后脱壳机脱,脱了之后查壳还是有壳,但是这时候ida打开就已经脱成功了,为什么会这样不清楚原理,kali命令直接脱就行),找main函数,直接打开就是。我还专门找了篇文章学习elf脱壳。 7.攻防世界--新手区
攻防世界re新手
qq_45684803的博客
05-28 250
1.open-source 拿到题目,发现这是一段C语言代码。 此处,我用devc打开,得到如下的几个主函数。 从中可以发现,这是要我们改变first,second,argv[3]才能得到正确的flag。 开始分析第一个first,这里发现if语句,如果括号中的条件成立,那么就将输出"you are wrong",并直接退出,我们考虑把first直接改成oxcafe(提示你该喝咖啡了)对应的十进制数:51,966。 接下来是second,同样的方法,使if成立的条件,我偏就改成使其不成立的;很简单的,s
攻防世界RE练习
weixin_30892889的博客
09-26 879
攻防世界 一开始学习下re,产生了兴趣 game 这个题目在某个CTF平台做过了0-0,再做一遍。(跟着WP 0.0) 首先用ExeinfoPe或者Peid查壳 也可以使用file命令查看相关信息 32位程序,使用ida打开,F5反编译 程序逻辑: shift+F12 查看字符串 进入后 右键list cross refer...
实验舱OJ满分题解-1375、冒泡排序过程
06-03
实验舱OJ满分题解-1375、冒泡排序过程
buuctf刷题记录(2)
weixin_53409153的博客
06-06 644
不一样的flag 对于这种题,一般最开始就是需要查壳吧: 查壳后发现无壳32位,然后就直接拖入IDA,shift+f12查看: 跟进,然后f5查看伪代码: 可以看见,这是一个while循环,然后在while循环上面有一行代码,很重要qmemcpy(&v3, _data_start__, 0x19u);跟进后可以看见: 然后再回头看伪代码: while ( 1 ) { puts("you can choose one action to execute"); puts(
BUUCTF Reverse reverse2 WriteUp
PlumpBoy的博客
09-10 156
reverse_2 拖入HxD中看见ELF,linux平台的程序,但是懒得开虚拟机了,顺手搜索了一下,看见了一个很像flag的字符串,结果提交试了下,错误的,那么应该是程序对这个字符串做了一些操作。 拖入IDA v8 = __readfsqword(0x28u); pid = fork(); if ( pid ) { waitpid(pid, &stat_loc, 0); } else { for ( i = 0; i <= strlen(&f
逆向做题记录2023 4.3-4.9
m0_73718199的博客
04-09 787
在某些编程语言或者汇编语言中,使用 dup 语句可以重复生成一定数量的相同元素,可以用来快速生成一定数量的数组或者缓冲区。在计算机编程中,8 dup(0) 表示申请 8 个字节(或者 8 个元素)的连续内存空间,并将该空间的值初始化为 0。该函数的参数为指向 FILE 结构的指针,指示要关闭的文件。fopen() 是一个 C 标准库函数,用于打开一个文件并返回一个指向该文件的指针。函数将写入任何挂起的缓冲区数据,释放与文件流相关的所有缓冲区,并关闭该文件。是 C 标准库中的一个函数,用于关闭打开的文件。
[ctfbub.pwn] 练习 16-
weixin_52640415的博客
09-07 492
ctfhub pwn练习
__readfsbyte、__readfsdword、__readfsqword、__readfsword
u013043103的博客
06-25 3155
Microsoft 专用 从偏移量的指定位置读取内存相对 FS 段开头。 语法 unsigned char __readfsbyte( unsigned long Offset ); unsigned short __readfsword( unsigned long Offset ); unsigned long __readfsdword( unsigned long Offset ); unsigned __int64 __readfsqword( unsi...
攻防世界reverse新手之re1
qq_40481505的博客
05-06 5309
攻防世界reverse新手之re1 下载附件后发现是exe文件,运行后显示 看来没给什么提示,于是用IDA反编译,按F5能够查看反编译C代码结果 阅读代码发现,程序的功能是将用户输入的flag存入v9,然后将v9和v5比较,如果值相同输出aFlag 既然需要比较flag,那正确的flag应该已经作为一个常量保存在程序内部,可以尝试直接查找flag 首先尝试查看IDA的string界面,vie...
[RE]攻防世界--新手区
weixin_50079028的博客
08-28 348
1.攻防世界--新手区--open-source 下载拿到c语言文件,都不用反汇编,直接观察代码。让他们都if判断失败不就可以最终执行输出key的代码了 #include <stdio.h> #include <string.h> ​ int main(int argc, char *argv[]) { //argc ==4 if (argc != 4) { printf("what?\n"); exit(1); } //f...
攻防世界re --- srm-50
archli的博客
09-07 1016
一看是exe文件,那就要先大胆尝试运行一下 我还在猜想会不会邮箱和输入的字符串之间有什么对应的关系,先打开ida观察一下 瞅一眼函数就这俩有用的。 先看winmain, 先普及一下知识吧, 说的很明白,不用多想,里面有个dialogfun函数,问题应该在这里面。 这些都是废话,查一查就知道是说模板的,往下看 第一个if,我以为有点什么后来发现不过是检查邮箱中@和.什么的 那么重要的不过就...
攻防世界ics-06
08-12
对不起,你提供的引用内容没有包含任何问题。请提供一个明确的问题,我将很乐意帮助你回答。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [攻防世界--ics-06](https://blog.csdn.net/m0_67467924/article/details/129679123)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [攻防世界Web “ics-06、unserialize3、supersqli”题解](https://blog.csdn.net/qq_53325209/article/details/124255388)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值